Off-Topic: strange ip-connections

  • hallo,


    habe einen rootserver bei hetzner gemietet und soeben über ssh -D <port> <server-ip> einen socks-proxy aufgebaut (brauchte eine deutsche ip für den zdf livestream, bin gerade in österreich auf urlaub). als ich dann auf google nach der zdf-livestream-seite suchen wollte, bekam ich von goolge die meldung, dass von dieser ip-adresse irgendwie strange requests kommen und ich deshalb ein captcha eingeben muss. das hat mich schockiert, das ist nämlich das erste mal seit ich den server habe (ca. 1 jahr) dass ich damit auf google was suchen wollte. dann hab ich sofort mit iptop mal die akutellen connections angeschaut.
    da erblickte ich eine connection zu 74.205.xxx.xxx. eine whois abfrage ergab: healthcaredata.com !!!
    was soll ich jetzt tun? bin ich jetzt teil eines botnetzes? hab nur einen apache2, ssh und openvpn von außen offen.


    hilft mir jetzt noch ein honeybot? wie kann ich den übeltäter lokalisieren?



    danke für eure hilfe!!!

  • Möglicherweise mod_proxy aktiv und "ProxyRequests on" aktviert? Ist mir mal versehentlich passiert und mein Server wurde als Proxy "missbraucht". Kannst ja mal ein "netstat -anpt|grep ESTABLISHED" machen und schauen, was so los ist.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB